News-Meldung vom 23.12.2008 08:44
Microsoft hat seine Kunden vor einer kritischen Sicherheitslücke in älteren Versionen seiner SQL-Server-Datenbank gewarnt. Das Unternehmen empfiehlt den Anwendern, zeitnah einen Workaround einzuspielen. Über eine Sicherheitslücke in der Extended Stored Procedure "sp_replwritetovarbin" könne ein Angreifer beliebigen Code im Rahmen des SQL-Server-Prozesses ausführen. Die betroffene Stored Procedure ist per Default für alle SQL-Server-Anwender aufrufbar. Die Ausnutzung ist durch einen angemeldeten Benutzer oder über SQL-Injection-Schwachstellen möglich.
Betroffene Versionen sind SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine und Windows Internal Database (WYukon). Neuere Versionen der Datenbank sind laut Microsoft nicht betroffen.
Nach Angaben des österreichischen Beratungsunternehmens SEC Consult wurde die Lücke bereits im April dieses Jahres an Microsoft gemeldet. Nachdem Microsoft sich damals mit der Veröffentlichung eines Patches Zeit gelassen hatte, hatte SEC Consult zwei Wochen später einen Prototyp zum Schließen der Lücke vorgestellt. Die Berater machen zusätzlich deutlich, dass Microsoft bereits seit drei Monaten den Patch in petto habe.
Siehe dazu auch:
(ane)
English Version: Critical vulnerability in older versions of SQL Server
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-192097
Themen-Forum Serversicherheit
Mehr zum Thema Patchday SQL Server Datenbank Microsoft
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
